Om de utnyttjas kan dessa brister tillåta angripare att få obehörig åtkomst till känslig information eller i allmänhet orsaka problem
Nyligen släpptes information Eklypsiumforskare har identifierat anomalt beteende i system med plattor «Gigabyte».
Forskarna nämner att de upptäckt som "UEFI-firmware" använde på tallrikarna utförde ersättningen och lanseringen av den körbara filen för Windows-plattformen, allt detta utan att informera användaren under systemstart. I sin tur nämns det att den lanserade körbara filen laddades ner från nätverket och att den sedan lanserade tredjeparts körbara filer.
I en mer detaljerad analys av situationen visades det identiskt beteende förekommer på hundratals olika modeller Gigabyte-moderkort och är associerad med driften av företagets App Center-applikation.
Nyligen började Eclypsium-plattformen upptäcka misstänkt bakdörrsbeteende inom Gigabyte-system i det vilda. Dessa upptäckter drevs av heuristiska detektionsmetoder, som spelar en viktig roll för att upptäcka nya och tidigare okända hot i leveranskedjan, där legitima tredjepartsprodukter eller teknologiuppdateringar har äventyrats.
Angående processen nämns atte den körbara filen är inkorporerad i UEFI-firmwaren och att detta lagras på disk under systeminitieringsprocessen vid uppstart. Vid drivrutinsstartskedet (DXE, Driver Execution Environment), med hjälp av WpbtDxe.efi firmware-modulen, laddas denna fil in i minnet och skrivs till WPBT ACPI-tabellen, vars innehåll sedan laddas och exekveras av administratören. Windows-session manager (smss.exe, Windows session manager undersystem).
Innan modulen laddas kontrollerar modulen att "APP Center Download and Install"-funktionen var aktiverad i BIOS/UEFI, eftersom detta är inaktiverat som standard. Under uppstart på Windows-sidan ersätter koden den körbara filen på systemet, som är registrerad som en systemtjänst.
Vår uppföljningsanalys fann att firmware på Gigabyte-system laddar ner och kör en inbyggd Windows-körbar under systemstartprocessen, och denna körbara laddar sedan ner och kör ytterligare nyttolaster på ett osäkert sätt.
Efter att ha startat tjänsten GigabyteUpdateService.exe laddas uppdateringen ner från Gigabyte-servrarna, men detta görs utan korrekt verifiering av den nedladdade datan med hjälp av en digital signatur och utan att använda kommunikationskanalkryptering.
Dessutom nämns att nedladdning via HTTP utan kryptering var tillåten, men även när det nås via HTTPS, verifierades inte certifikatet, vilket gjorde att filen kunde ersättas av MITM-attacker och att iscensätta dess kodexekvering på användarens system.
Denna bakdörr verkar implementera avsiktlig funktionalitet och skulle kräva en firmwareuppdatering för att helt ta bort den från påverkade system. Även om vår pågående undersökning inte har bekräftat utnyttjande av en specifik hackare, utgör en utbredd aktiv bakdörr som är svår att eliminera en risk för leveranskedjan för organisationer med Gigabyte-system.
För att komplicera situationen, fullständig eliminering av problemet kräver en firmwareuppdatering, eftersom logiken för att exekvera tredjepartskod är inbyggd i den fasta programvaran. Som ett tillfälligt skydd mot en MITM-attack på Gigabyte-kortanvändare, rekommenderas att blockera ovanstående webbadresser i brandväggen.
Gigabyte är medveten om otillåtligheten av förekomsten i den fasta programvaran av sådana osäkra automatiska uppdateringstjänster och tvångsintegrerade i systemet, eftersom att äventyra företagets infrastruktur eller en medlem av leveranskedjan (försörjningskedjan) kan leda till attacker mot användare och organisationen, eftersom ögonblicket att lanseringen av skadlig programvara inte kontrolleras på operativsystemnivå.
Som ett resultat kan alla hotaktörer använda detta för att ihärdigt infektera sårbara system, antingen genom MITM eller en komprometterad infrastruktur.
Slutligen, om du är intresserad av att veta mer om det kan du läsa detaljerna I följande länk.